active directory管理和构架第5部分(域信任关系 、域功能级别、配置ad站点复制).ppt

议题域域信任关系信任关系配置配置AD站点复制站点复制第第5部分部分 域域信任关系信任关系、配置配置AD站点复制站点复制内容内容信任信任信任方向信任方向Windows NT信任关系信任关系Win2000 win 2003信任关系信任关系理解功能理解功能级别信任信任信任是在域信任是在域间建立的一种关系，可建立的一种关系，可让域中的域控制域中的域控制器来器来验证另一个域中的使用者另一个域中的使用者。Windows NT中的信中的信任关系和任关系和Windows 2000及及Windows Server2003服服务器操作系器操作系统中的不一中的不一样。信任方向信任方向信任路径是身份验证请求必须符合域之间的一系列信任路径是身份验证请求必须符合域之间的一系列信任关系。信任关系。域控制器上的安全系统必须确定信任域与受信域之域控制器上的安全系统必须确定信任域与受信域之间是否具有信任关系之后，用户才可以访问另一个间是否具有信任关系之后，用户才可以访问另一个域的资源。域的资源。单单向信任向信任单单向信任向信任是两个域是两个域间建立的建立的单方向方向验证路径。路径。这表表示示DomainA与与DomainB之之间的的单向信任向信任，DomainA的使用者可以存取的使用者可以存取DomainB中的中的资源。但是源。但是，DomainB的使用者无法存取的使用者无法存取DomainA的的资资源。源。双向信任双向信任在在Windows Server2003树系中全部的域信任系中全部的域信任都是双都是双向可向可转转移的信任移的信任。建立一个新的子域。建立一个新的子域时，在新增子，在新增子域及父域之域及父域之间会自会自动建立双向可建立双向可转移的信任。在双移的信任。在双向信任中向信任中，DomianA信任信任DomainB，且，且DomainB信信任任DomainA。这表示表示验证要求可以在两个域之要求可以在两个域之间以以两个方向方两个方向方传送。某些双向关系可以是不可送。某些双向关系可以是不可转移或移或可可转移的，移的，这会会视所建立的信任而定。所建立的信任而定。Windows NT中的信任中的信任在在WindowsNT 4.0及先前的版本中，信任只限于两及先前的版本中，信任只限于两个域之间，个域之间，而且信任关係而且信任关係是单向且不可转移的。在是单向且不可转移的。在下图中下图中，不可转移信任不可转移信任及单向信任及单向信任会由指向信任域会由指向信任域的直线箭头表示。的直线箭头表示。Win2003与与Win2000服服务器的信任器的信任Windows 2000与与Windows Server2003树系中的所有系中的所有信任信任都是可都是可转转移、双向信任移、双向信任。因此信任关系中的两。因此信任关系中的两个域都是受信任的。如下列个域都是受信任的。如下列图例所示，例所示，这意味着如意味着如果域果域A信任域信任域B而且域而且域B信任域信任域C，则来自域来自域C的使用的使用者者(已授与适当的使用已授与适当的使用权限限)即可存取域即可存取域A的的资源。只源。只有有Domain Admins群群组中的成中的成员可以管理信任关系。可以管理信任关系。理解功能理解功能级别混合模式混合模式&纯模式模式作作为Active Directory版本修版本修订架构的功能架构的功能级别域功能域功能级别概述概述林功能林功能级别概述概述混合模式和混合模式和纯模式域模式域混合模式域混合模式域允许Windows NT 4.0域控制器（DC）用户和组管理局限于Windows NT4.0域控制器可以理解的范围内无通用组无嵌套组无SID历史Windows 2003 Server域控制器允许混合模式域的存在Windows 2003 Server PDC将复制到NT 4.0 BDC甚至无需任何Windows 2000域控制器混合模式和混合模式和纯模式域模式域纯模式域模式域又称为“无Windows NT 4.0域控制器”模式启用所有组/用户管理特性可以有Windows 2000和2003 Server域控制器功能功能级别因非向后兼容特性的引入而必不可少因非向后兼容特性的引入而必不可少在林/域中所有域控制器升级时，管理员手动提升功能级别级别只能提升，不能降低禁止老式域控制器的加入/启动考虑Windows 2000纯模式+可用的功能可用的功能级别Windows 2003 Server林功能Windows 2003 Server过渡林功能Windows 2003 Server域功能域功能级别域功能级别域功能域功能启用的特性启用的特性域支持的域控制器域支持的域控制器Windows 2000混合模式混合模式l从媒体安装从媒体安装l通用组缓存通用组缓存Windows NT4.0Windows 2000Windows2003Windows 2000纯模式纯模式混合模式全部特性，外加混合模式全部特性，外加l组嵌套组嵌套l通用组通用组l SID历史历史Windows 2000Windows 2003Windows 2003 Server过过渡混合渡混合/纯模式纯模式与与Windows 2000混合混合/纯模纯模式相同，取决于域是处于混式相同，取决于域是处于混合还是纯模式合还是纯模式Windows NT4.0Windows 2003Windows 2003 ServerWindows 2000纯模式全部纯模式全部特性，外加特性，外加l 更新登录时间戳属性更新登录时间戳属性l Kerberos KDC版本版本lINetOrgPerson上的用户密码上的用户密码Windows 2003林功能级别林功能级别林功能林功能启用的特性启用的特性林中的域控制器林中的域控制器Windows 2000l从媒体安装从媒体安装l通用组缓存通用组缓存Windows NT4.0Windows 2000Windows 2003Windows 2003 Server过渡模式过渡模式Windows 2000的全部特性，的全部特性，外加外加l LVR复制复制l经过改良的经过改良的ISTGWindows NT4.0Windows 2003Windows 2003 ServerWindows 2003 Server过渡过渡模式的全部特性，外加模式的全部特性，外加l动态辅助类动态辅助类l从用户到从用户到INetOrgPerson的改变的改变l停用停用/激活架构激活架构l域重命名域重命名l跨林信任跨林信任Windows 2003demo实验实验5-0 启用通用组成员身份缓存启用通用组成员身份缓存跨域访问资源工作原理跨域访问资源工作原理3-1跨域访问资源工作原理跨域访问资源工作原理3-21.User1 使用来自使用来自 child1.microsoft 域的凭据登录到域的凭据登录到 Workstation1。在此过程中，负责进行验证的域控。在此过程中，负责进行验证的域控制器将为制器将为 User1 颁发一张票证授予式票证颁发一张票证授予式票证(TGT)。在进行资源访问身份验证时，需要提供此票证。在进行资源访问身份验证时，需要提供此票证。此后，用户尝试访问此后，用户尝试访问 child2 域中文件服务器上的域中文件服务器上的共享资源共享资源(fileserver1share)。2.Workstation1 联系其所在域中的某个域控制器联系其所在域中的某个域控制器(ChildDC1)上的密钥发行中心上的密钥发行中心(KDC)，并针对，并针对 FileServer1 的服务主体名称的服务主体名称(SPN)申请服务票证。申请服务票证。3.ChildDC1 没有在自身域数据库中找到该没有在自身域数据库中找到该 SPN，因，因而继续查询全局编录，看林中是否有任何域包含而继续查询全局编录，看林中是否有任何域包含此此 SPN。全局编录将所请求的信息发送回。全局编录将所请求的信息发送回 ChildDC1。跨域访问资源工作原理跨域访问资源工作原理3-34.ChildDC1 将引用发送给将引用发送给 Workstation1。5.Workstation1 联系联系 ForestRootDC1（它的父域）中（它的父域）中的域控制器，以便获取访问的域控制器，以便获取访问 Child2 域中的域控制域中的域控制器器(ChildDC2)时所需的引用。时所需的引用。ForestRootDC1 将引将引用发送给用发送给 Workstation1。6.Workstation1 联系联系 ChildDC2 上的上的 KDC 并协商访问并协商访问 FileServer1 时所需的票证。时所需的票证。7.现在现在 Workstation1 具备了服务票证。它将把服务具备了服务票证。它将把服务票证发送给票证发送给 FileServer1，而，而 FileServer1 将读取用将读取用户的安全凭据并相应地建立访问令牌。户的安全凭据并相应地建立访问令牌。demo实验实验5-1 建立两个域间的林信任建立两个域间的林信任实现站点以管理实现站点以管理Active Directory复制复制内容内容域、域域、域树、域林、域林复制拓扑复制拓扑结构构站点和子网站点和子网站点站点链接接站点复制故障排除站点复制故障排除域域域控制器域域域是域是WIN2K3网网络系系统的安全性的安全性边界界,是活是活动目目录最最基本的基本的单元元OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2OU2OU1User1Computer1Printer1User2域域树域域树：域：域树由多个域由多个域组成，成，这些域共享同一表些域共享同一表结构构和配置，形成一个和配置，形成一个连续的名字空的名字空间。树中的域通中的域通过信任关系信任关系连接起来，活接起来，活动目目录包含一个或多个域包含一个或多个域树。域域树中的域中的域层次越深次越深级别越低，一个越低，一个“.”代表一个代表一个层次次 域林域林域林是指由一个或多个没有形成域林是指由一个或多个没有形成连续名字空名字空间的域的域树组成，它与上面所成，它与上面所讲的域的域树最明最明显的区的区别就在于就在于这些域些域树之之间没有形成没有形成连续的名字空的名字空间，而域，而域树则是由一些具有是由一些具有连续名字空名字空间的域的域组成。但域林中的成。但域林中的所有域所有域树仍共享同一个表仍共享同一个表结构、配置和全局目构、配置和全局目录。什么是复制拓扑什么是复制拓扑结构构?Domain Controllers from the Same DomainA1A2A3A4Domain A TopologySchema and ConfigurationTopologyDomain A TopologyDomain B TopologySchema and ConfigurationTopologyA1A2A3A4B1B2B3Domain Controllers from Various DomainsA-B的连接对象的连接对象,在在DC B的的NTDS Setting中中B-A的连接对象的连接对象,在在DC A的的NTDS Setting中中复制拓扑复制拓扑结构的自构的自动生成生成A1A2A7A6A3A5A4KCCKCCKCCKCCKCCKCCKCCA8KCCAutomatic Generation of Replication Topology全局全局编录Global Catalog 和分区的复制和分区的复制Partial Directory Partition ReplicaSchemaConfigurationGlobal Catalog ServerHolds read only copy of all domain directory partitionscontoso.msftnamerica.contoso.msftA1A2A3A4B1B2B3Domain A TopologySchema/Config TopologyDomain A TopologyDomain B TopologySchema and ConfigurationTopology什么是站点和子网什么是站点和子网对象象?Active Directory Sites and ServicesConsole Window HelpActive ViewTreeActive Directory Sites and ServicesSitesDefault-First-Site-NameServersInter-Site TransportsSubnetsSiteInter-Site Transport ContainerSiteSubnets ContainerNameTypeRedmond-SiteDefault-First-Site-NameInter-Site TransportsRedmond-SiteSubnetsDENVERNTDS SettingsDefault-First-Site-NameRedmond-SiteB1A1IP SubnetIP SubnetIP Subnet什么是站点链接什么是站点链接?SiteIP SubnetIP SubnetA1A2RPC or SMTPSite LinkIP SubnetIP SubnetSiteB3B1B2Cost一个站点连接一个站点连接:启用站间的复制通讯启用站间的复制通讯展现站点间的物理连接展现站点间的物理连接站内复制站内复制 vs.站间复制站间复制站内复制站内复制:假定快速和可靠的网络连接不压缩复制通信使用更改通知机制(15s)站间复制站间复制:假定受限的可用带宽和不可靠的网络连接在站点间压缩所有的复制通信产生一个手工的时间安排scheduleIP SubnetA1A2IP SubnetReplicationIP SubnetA1A2IP SubnetReplicationIP SubnetB1B2IP SubnetReplicationReplication什么是桥头堡服务器什么是桥头堡服务器Bridgehead Server?A bridgehead server:Sends and receives replicated dataIs designated for each partition in the siteIP SubnetIP SubnetA1Bridgehead ServerReplicationIP SubnetIP SubnetB1Bridgehead Server什么是站内拓扑生成器什么是站内拓扑生成器Intersite Topology Generator?IP SubnetA1A2Bridgehead ServerReplicationB2Bridgehead ServerB1ReplicationIP SubnetIP SubnetReplicationIP SubnetIntersite Topology GeneratorIntersite topology generator defines the replication between sites on a network 为什么禁用默认的所有站点链接的桥接为什么禁用默认的所有站点链接的桥接?IP SubnetIP SubnetSite B IP SubnetIP SubnetSite AIP SubnetIP SubnetA1A2Site Link BridgeB2Site Link BCSite Link ABB1B3C2C1Site C什么是复制监视器什么是复制监视器Replication Monitor?Replication MonitorDisplays:Replication topology Replicating partner USN values Number of failed attempts FlagsPolls the server at an administrator-defined intervalMonitors the count of failed replication attemptsTriggers the KCC to recalculate the replication topologySynchronizes partitions between two domain controllersShows which objects have not been replicated运行运行:replmom如何确定问题的原因如何确定问题的原因Possible causesTesting method站点间没有站点连接站点间没有站点连接Dcdiag/test:Topology没有制定桥头堡服务器没有制定桥头堡服务器Repadmin/bridgeheads不正确的站点拓扑和调不正确的站点拓扑和调度度Repadmin/latency站点内站点内DC不再线不再线Dcdiag/test:Replication Dcdiag/test:Connectivity没有足够的没有足够的DCSystem monitor NTDS counters不正确的站点拓扑不正确的站点拓扑Active Directory Sites and ServicesRepadmin/latencyDcdiag/test:IntersiteKCC 出错出错Dcdiag/test:kcceventdemo实验实验5-2 排除排除AD复制故障的复制故障的6个基本工具个基本工具小结小结信任信任信任方向信任方向如何建立林信任如何建立林信任域、域树、域林域、域树、域林站点间复制站点间复制复制监视复制监视